PDA

View Full Version : سوال: ایجاد کلمه عبور ترکیبی برای کاربران



hamid_computer3
سه شنبه 28 بهمن 1393, 10:40 صبح
من میخوام کاری کنم که وقتی کاربران سایتم میخوان عضو بشن رمز های ساده رو انتخاب نکنن و از رمز هایی استفاده کنن که توسط دیگران به راحتی حدث زده نشه

من از کد زیر استفاده میکنم ولی رمز های ساده رو نمیتونه تشخیص بده



if(!preg_match('/^(?=.*\d)(?=.*[A-Za-z])[0-9A-Za-z!@#$%]{8,12}$/', $password))
{
echo 'the password does not meet the requirements!';
}

hamidhassas
سه شنبه 28 بهمن 1393, 11:11 صبح
http://www.hassas-computer.com/images/images_upload/matlab/amuzesh/Password.jpg

ایجاد یک کلمه عبور ایمن برای حساب های کاربری (http://www.hassas-computer.com/preview.php?post=2151)

Unique
سه شنبه 28 بهمن 1393, 15:46 عصر
کلا RegEx بهترین ابزار برای این کار هست مثلا این :


^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{8,16}$

گذرواژه باید بین 8 تا 16 کاراکتر و حداقل یک عدد ،‌ یک حرف لاتین کوچک و یک حرف لاتین بزرگ باشه. حتی اگه کاربر گذروازه Aa111111 را استفاده کنه (این کاربر گذرواژش لو بره هم تقصیر خودشه) شکستنش به این راحتی ها نیست.

تجربه : کاربران ایرانی خیلی خیلی خیلی خیلی خیلی تنبل هستند و اگه فرم شما چنین درخواستی ازش بکنه بی خیال میشه و چهار تا فحش هم به شما و من که توصیه کردم میده.

leaping
سه شنبه 28 بهمن 1393, 20:46 عصر
به نظر من اگر یک امکان برای تولید رمز عبور براشون در کنار همون فیلد رمز عبور تعبیه کنید همه چیز حل میشه :)

Unique
چهارشنبه 29 بهمن 1393, 00:10 صبح
به نظر من اگر یک امکان برای تولید رمز عبور براشون در کنار همون فیلد رمز عبور تعبیه کنید همه چیز حل میشه
اگه قرار بر این باشه که ما تولید کنیم. خوب تولید میکنیم براش ایمیل میکنیم. اما کلا جایی ندیدم گذرواژه را تولید کنه و اجازه تغییر نده !! از هر ۱۰۰ نفر شاید فقط یک نفر رمز تولیدی را جایی یاد داشت کنه ! بقیه معمولا یک چیز ساده مینوسین ! در کل باید سمت سرور چک کنید حتی اگه سمت کلاینت با Javascript تولید شده باشه.

این Database سایت Facenama که هک شد توسط چند تا از دوستان تحلیل شده بود ! ۱۲۳۴ محبوب ترین گذرواژه بوده ! بعدش ۱۲۳۴۵۶ و بعدش ۱۲۳۴۵۶۷۸۹. شما فقط ببین کاربر ایرانی فکرش تا کجا کشیده.

abolfazl-z
چهارشنبه 29 بهمن 1393, 22:12 عصر
این Database سایت Facenama که هک شد توسط چند تا از دوستان تحلیل شده بود ! ۱۲۳۴ محبوب ترین گذرواژه بوده ! بعدش ۱۲۳۴۵۶ و بعدش ۱۲۳۴۵۶۷۸۹. شما فقط ببین کاربر ایرانی فکرش تا کجا کشیده.

نگاه کنید کاربر عادی مثل شما و من از رمز و ... سر در نمیاره !

برفرض مثال کاربر فکر میکنه اون رمزی که میزاره رو هیچ کس نمیبینه و فقط خودش میدونه و همینکه خودش میزنه و کسی دور و ورش نیست و وارد میشه، امن هست

سایت facenama همه نوع شخصیت داره و شامل همه نوع کاربره

یکی مثل شما حرفه ایی یکی مثل من مبتدی و یکی تهی از علم کامپیوتر

ما باید روشمون را عوض کنیم تا مقصر دانستن کاربر

حالا به نظر شما و دوستان چه روشی بزاریم ؟ از چه ورودی استفاده کنیم ؟ آیا میشه صفحه ورود را حذف کنیم ؟ چه ایده پیاده سازی کنیم که امنیت برقرار باشد ؟

از نظر من مجبور کردن کاربر به انتخاب یک پسورد دشوار ، یعنی از دست دادن کاربر

همه و همه برمیرگده به خودمون

مشکل هک شدن سایت فیسنما از کاربر نبود از خود فیسنما بود پس امنیت سیستم کاربر درست بوده تا حدودی

حال اگر سیستم کاربر هک بشه دیگه ما نمیتونیم کاری کنیم ولی میتونیم پیشگیری کنیم.

بر فرض مثال :

برای سایت های مهم نظیر سیستم های بانکی و یا هر سایتی که دوست داره امنیت اش رو افزایش بده استفاده از سیستم پیامک است

یک نمونه که الان به فکر من رسید این است که عملیات لاگین روی گوشی در قالب اس ام اس انجام بشه

یعنی از طریق گوشی یک اس ام اس به سامانه ارسال بشود و درخواست ورود کند و سامانه یک کدی چند رقمی ساده به عنوان پسورد برای کاربر ارسال کند در این میان کاربر می تواند با زدن نام کاربری و رمز عبوری که از سرور ارسال شده وارد سایت شود. حال شاید این ایده جایی قبلا استفاده شده یا مشکل امنیتی داشته باشد و باید روی اینطور ایده ها گروهی فکر کرد البته ایده استفاده از پیامک که خیلی وقت بوده ولی روش های مختلف اش میتونه خوب از آب دربیاد

ssl و ... در این زمینه می تواند خیلی کمک کند

حال دیگر نمیدونم ارسال اس ام اس چقدر میتونه امن باشه و این خود جای بحث دارد که اما متاسفانه من اطلاعاتی ندارم

abolfazl-z
چهارشنبه 29 بهمن 1393, 22:18 عصر
http://www.hassas-computer.com/images/images_upload/matlab/amuzesh/Password.jpg

ایجاد یک کلمه عبور ایمن برای حساب های کاربری (http://www.hassas-computer.com/preview.php?post=2151)

محض اطلاع !

شما رو bitdefender بلاک کرده !

sairon123
چهارشنبه 29 بهمن 1393, 22:41 عصر
به نظر من ارسال اس ام اس و ایمیل باعث از دست دادن کاربرا میشه ، به نظر من هر چی کار کاربران راحت تر باشه ، بیشتر جذب سایت می شن و سایت موفق تره
من خودم اگه بخوام تو سایتی عضو بشم اگه کد فعال سازی به ایمیل بفرسته یا از طریق اس ام اس ، بیخیال میشم مگر اینکه سایت خیلی مهم باشه

Unique
پنج شنبه 30 بهمن 1393, 02:47 صبح
از ایمیل فعال سازی و پیام کوتاه برای اطمینان از صحت ایمیل و شماره همراه استفاده میشه ! گذرواژه همیشه کاربرد خودش را داره.
به نظر من همینکه طول گذرواژه ۶ کاراکتر و ترکیبی از حروف و اعداد باشه برای پروژه های متوسط به پایین کفایت میکنه. برخی مواقع حساسیت ها بالاست مثل Gmail اونجا ورود دو مرحله ای و چک کردن IP و موضوعات دیگه اهمیت پیدا میکنه. یک راه دیگه هم که هست اینه که از طریق Password Strength Checker ها به کاربر اعلام کنیم که گذرواژه انتخابیش خیلی آبکیه !

در کل من ترجیه میدم کاربری که با IE مخصوصا نسخه های ۸ یا ۹ به پایین وارد سایت میشه و گذرواژه 1234 را انتخاب میکنه طرف نباشم ! بهتره اصلا Register نکنه. اگه واقعا سایت من یا شما انقدر بیخوده که الزام کاربر به اینکه باید گذرواژه با یک طول مشخص و ترکیبی از حروف و اعداد انتخاب کنه باعث از دست رفتنش بشه همون بهتر سایتمون یا سایتتون را تعطیل کنید.
من توی یکی از پروژه ها که سود و زیانش متوجه خودم هست کلا مانع ورود IE زیر 10 شدم ! (بقیه مرورگر ها در حد انتظار هستند). منظورم از این حرف اینه که انقدر لیلی به لالای کاربران بی سواد وب نگذارین. این ها برای یک پرداخت ساده هم ۴ یا ۵ بار میرن توی سایت بانک و یا انصراف میدن یا همونجا مرورگر را میبندن !